水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > CSRFの説明に追記

CSRFの説明に追記

2006年3月30日(木曜日)

CSRFの説明に追記

更新: 2006年4月3日

開発者のための正しいCSRF対策 (www.jumperz.net)」。

CSRF の対策としては「攻撃者の知り得ない値」をリクエストに含める必要があり、その候補のひとつとして Cookie が上げられていました。それ自体は CSRF の対策としては正しいのですが、今回、Cookie の値を HTML 中に書き出すと別の危険性があるという指摘がされています。特定ブラウザ (MSIE) の問題ではあるのですが、確かに危険ですので、CSRFの解説に追記しておきました。

※ちなみに「CSSXSS」と呼ばれている問題の本質は「クロスドメインで任意の HTML の内容が読み取れてしまう」という点です。これは XSS とはあまり関係ありませんし、ある意味 XSS よりも危険です。その呼称は誤解を招くと個人的には思っています。

※2006-04-03追記: リンク先ですが、あっさりと閉鎖されてしまったようです。どう考えても名誉毀損を構成するような内容ではなかったと思いますが……。

関連する話題: セキュリティ / CSRF / CSSXSS

人気のページ

最近の日記

関わった本など

デザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト